Wie sicher sind Daten in der Cloud?

Die „Cloud“ wird seit einiger Zeit als zukunftsweisende Technologie angepriesen. Darunter wird die Möglichkeit verstanden standardisierte IT-Leistungen über ein Netzwerk zu beziehen. Es handelt sich nicht um etwas völlig Neues: Seit Jahren haben Unternehmen begonnen IT-Anwendungen und -Infrastruktur extern betreiben zu lassen. Vieles spricht dafür die IT-Anwendungen nicht mehr unter dem eigenen Dach zu betreiben: Die Cloud Angebote sind schnell verfügbar, flexibel einsetzbar und auf dem neusten Stand der Technik. Die Firmen werden flexibler, wenn sie nicht mehr selber in die IT-Infrastruktur investieren müssen, sondern diese als Dienstleistung nach Bedarf beziehen können. Die Skalierung des Angebots bringt Preis- und Leistungsvorteile. Die Vorteile sind so gross, dass kaum eine Firma sie als Option zumindest für Teile ihrer IT ignorieren kann. Auch im privaten Bereich sind Cloud Angebote äusserst beliebt, weil sie praktisch und kostengünstig sind. Die Standardisierung der IT-Leistungen ermöglicht den Zugriff auf die eigenen Daten mit unterschiedlichen Endgeräten – von überall her.

Allerdings gibt es auch Schattenseiten: Die Angst, dass die persönlichen oder Firmen eigenen Daten ausspioniert werden oder vor deren Verlust, geht um. Schlagzeilen über Staaten, die sich (angeblich) Zugriff auf Daten verschaffen und Datendiebstahl durch Kriminelle, verunsichern die Benutzer. Wie steht es mit der Sicherheit der Daten in der Cloud?

Vorerst müssen wir unterscheiden zwischen verschiedenen Cloud Angeboten. Die öffentlich bekannten Dienste, welche von privaten Personen für die Speicherung von Notizen, Fotos und Dokumenten genutzt werden, gehören zur „Public Cloud“. Es handelt sich um Plattformen, die öffentlich zur Verfügung stehen, die Benutzer identifizieren sich mit Passwörtern und haben Zugriff auf die eigenen Daten innerhalb der gemeinsamen Datenbasis. Wenn solche Anbieter ihre Plattformen nicht genügend schützen oder schützen können, sind die Daten aller Benutzer gefährdet. Etwas anders sieht es bei „Private Cloud“ Lösungen aus, bei denen der Zugriff auf die Benutzer der Firma eingeschränkt ist und auf teilweiser oder vollständig getrennter Infrastruktur technisch vergleichbare Dienste anbietet.

Die Sicherheit von IT-Anlagen ist in den vergangenen Jahren immer stärker unter Druck geraten. Es vergeht kaum eine Woche ohne einen „Hacker-Angriff“ oder einen grösseren Datenverlust bei namhaften Firmen. Dafür sind zwei Trends verantwortlich: einerseits wird die Angriffsfläche immer grösser. Waren früher nur zentrale Computersysteme vernetzt, sind heute immer mehr Geräte und Systeme Software gestützt und an teils öffentlichen Netzen angeschlossen, vom Feuermelder über die Industrieanlage bis zum privaten Fernseher. Nicht alle diese Geräte sind optimal geschützt. Hinzu kommt die Verbreitung von privaten Computern und Smartphones. Der andere Trend, der die Sicherheit gefährdet, ist die Professionalisierung der Angriffe. Cyberkriminelle organisieren sich in Netzwerken und sind in der Lage hochkomplexe und flächendeckende Angriffe auf Systeme durchzuführen. Im Wettlauf zwischen den Herstellern, die ihre Anlagen schützen und den Angreifern, entscheiden mittlerweile Stunden.

Cloud Anwendungen sind in Bezug auf Sicherheit davon auch betroffen, ebenso wie alle anderen IT-Anwendungen. Sicherheit kann nur durch gezielte Massnahmen und laufende Nachrüstung der Anlagen geschaffen werden. Dabei darf der Gesamtkontext nicht aus den Augen verloren werden: Die Massnahmen müssen sowohl die technische Infrastruktur, wie auch die Ausbildung der Mitarbeiter und die Verträge mit den Lieferanten umfassen. Der Prozess ist dabei nie abgeschlossen, da sich die Bedrohungen laufend wandeln (siehe Grafik). Das ist der Preis für die zunehmende Durchdringung der Geschäftsprozesse mit computergestützten Lösungen und die hohe Vernetzung von Systemen und Firmen.

Bild1_HJS

IT-Sicherheit als permanente Aufgabe

 

Durch Cloud Anwendungen kommen allerdings ein paar Punkte hinzu, die ein spezielles Augenmerk verdienen:

  • Einerseits die differenzierte Auswahl von Angeboten und Anbietern abhängig vom Schutzbedarf der Daten und Anwendungen. Wer kritische Daten ungeschützt öffentlich ablegt, handelt fahrlässig, alle Anwendungen auf höchster Sicherheitsstufe zu betreiben ist unwirtschaftlich. Deshalb ist z.B. zu entscheiden, welche Daten zwingend in der Schweiz gespeichert werden müssen und welche zusätzlich zu verschlüsseln sind.
  • Ebenso wichtig sind klare Rollen des Kunden und des Cloud Anbieters bei der IT-Sicherheit. Es ist oft nur auf den ersten Blick offensichtlich, wer für die Massnahmen zum Schutz von Daten zuständig ist. Dazu gehört auch die Frage, wer für das Backup der Daten zuständig ist und wie Sicherheitsprobleme in der Zusammenarbeit identifiziert und behoben werden. Letztlich bleibt aber die Verantwortung für den Schutz seiner Daten immer beim Nutzer bzw. beim Auftraggeber, auch wenn er IT-Leistungen extern bezieht.
  • Schliesslich ist eine Absicherung von Abhängigkeiten durch Redundanzen und Mehrlieferantenstrategie wichtig. Durch die Auslagerung von Anlagen wird z.B. die Netzanbindung der Firma (noch) kritischer. Beim Ausfall eines Lieferanten muss eine Alternative bestehen. Hier gilt, je standardisierter das genutzte Angebot, desto einfacher ist ein Wechsel des Anbieters.

 

Die Cloud ist eine konsequente Weiterentwicklung der Auslagerung von IT-Leistungen, die nicht Kernkompetenz von Unternehmen sind. Ihre Vorteile sind so gross, dass kaum eine Firma mittelfristig darauf verzichten wird. Die Sicherheit von IT-Anlagen ist zunehmend gefährdet, egal nach welchem Modell man diese Anlagen betreibt oder betreiben lässt. Nur umfassende und permanent aktualisierte Massnahmen unter besonderer Berücksichtigung der Eigenheiten von Cloud-Lösungen helfen, diese Risiken zu minimieren.

Hinterlasse eine Antwort